No próximo artigo, daremos uma olhada no aureport. Esta é uma ferramenta que produz relatórios resumidos de logs do sistema para auditoria. Este utilitário também pode fazer uso de stdin contanto que a entrada seja a informação de log bruta. Os relatórios possuem um rótulo de coluna na parte superior para ajudar na interpretação dos vários campos. Exceto para o relatório de resumo principal, todos os relatórios possuem um número de evento de auditoria.
Os relatórios produzidos pelo aureport podem ser usados como blocos de construção para análises mais complicadas. leste não é um comando complexo, é muito fácil de usar. No final desta postagem, acho que todos saberemos um pouco mais sobre as maneiras como este comando pode ser usado para gerar relatórios de nosso sistema.
Instalação de aureport
Para instalar esta ferramenta em nosso Ubuntu, precisaremos instalar o auditd. Este é o componente do espaço do usuário para o sistema de auditoria Gnu / Linux. Após a instalação poderemos ver registros com utilitários ausearch ou aureport. O daemon auditd permite ao administrador de um sistema Gnu / Linux receber as informações de auditoria de segurança geradas pelo kernel, filtrá-las e armazená-las em arquivos.
Para realizar a instalação, para Vou fazer este exemplo no Ubuntu 17.10, só teremos que escrever o seguinte comando no terminal (Ctrl + Alt + T):
sudo apt install auditd
Com isso, teremos tudo o que precisamos instalado e podemos usar essa ferramenta no terminal. Se você não usar a conta root, você terá que adicionar sudo para cada um dos comandos.
usando aureport
Execute o relatório de resumo que você nos fornece um total dos principais itens do relatório. Lembre-se de que nem todos os relatórios têm um resumo para poder ser usado. Se quisermos obter o relatório resumido que o aureport pode nos fornecer, simplesmente teremos que executar o seguinte comando no terminal (Ctrl + Alt + T). O relatório de resumo é gerado como resultado:
aureport
Em caso de querer gerar o relatório de autenticação, teremos que executar o comando usando o opção au. No terminal, teremos que escrever da seguinte maneira:
aureport -au
O comando também pode nos mostrar o relatório de executáveis do nosso sistema. Para obter este relatório teremos que executar o comando com o opção x em nosso terminal:
aureport -x
Para selecionar o eventos com falha para processar em relatórios, teremos que adicionar o opção falhou. O padrão é eventos bem-sucedidos e com falha. Teremos que escrever o comando conforme mostrado abaixo:
aureport --failed
Se o que queremos ver é o relatório de login, teremos que executar o comando usando o opção l como pode ser visto na seguinte captura de tela:
aureport -l
Ver o relatório criptográfico Também é possível se usarmos o comando com o opção cr, como você pode ver abaixo:
aureport -cr
Também podemos verificar o nosso relatório de modificação de conta. Teremos apenas que adicionar o opção m. O comando deve ser executado da seguinte forma:
aureport -m
Para ver o Relatório PID, só teremos que adicionar o opção p ao comando conforme mostrado abaixo:
aureport -p
Além disso, poderemos ver o relatório de chamada do sistema (Syscall) usando o opção s. Podemos executar o comando da seguinte maneira:
aureport -s
Para ver o relatório do operações de sucesso, só teremos que executar o comando adicionando o opção de sucesso para este comando:
aureport --success
Para terminar, poderemos veja as opções disponíveis para este comando. Basta adicionar o opção de ajuda para o comando aureport. Teremos que escrevê-lo no terminal conforme mostrado abaixo:
aureport --help
Desinstalar
Para remover esta ferramenta do nosso sistema, basta abrir um terminal (Ctrl + Alt + T) e escrever nele:
sudo apt remove auditd && sudo apt autoremove
Com isso já temos uma ideia geral da cobertura e do uso do comando aureport, embora esta seja apenas uma amostra. Quem precisa, pode obter ajuda da página que podemos encontrar nas páginas de manual. Lá encontraremos as mesmas informações que nosso sistema nos mostrará ao executar o homem ajuda no comando aureport.